Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Политика безопасности контролера домена, политика безопасности домена,

локальная политика безопасности – раздел параметры безопасности

Название раздела Примеры параметров, пояснения
Политики учетных записей
1.Политика паролей Максимальный (минимальный) срок действия пароля, минимальная длина пароля, требовать неповторяемость паролей (система помнит N последних паролей и запрещает использовать их).
2. Политика блокировки учетной записи Блокировка учетной записи (на N минут в случае неверного ввода пароля), пороговое значение блокировки (максимально допустимое число раз неверного ввода пароля), сброс счетчика блокировки (счетчика неверно введенных паролей) через N минут.
3. Политика Kerberos Максимальный срок жизни билета пользователя (билета службы). Билеты криптографически надежно удостоверяют подлинность пользователей и служб в домене. Подробнее о системе аутентификации Kerberos см. далее в лекциях.
Локальные политики
1. Политика аудита Параметры раздела включают (выключают) запись в журнал безопасности системы неуспешные (успешные) попытки входа в систему, доступа к объектам, доступа к службе каталогов, управления учетными записями пользователей, аудит изменения политики безопасности, аудит системных событий и отслеживания процессов.
2. Назначение прав пользователя Определить пользователей (группы пользователей), которым разрешен (запре-щен): доступ к компьютерам домена (данному компьютеру) из сети, локальный вход в систему непосредственно на этом компьютере, завершение работы компьютера, изменение системного времени, архивирование и восстановление файлов и каталогов, увеличение дисковых квот пользователям, управление аудитом и журналом безопасности, делегирование части административных функций другим пользователям, получение прав владельца объекта, добавление новых компьютеров к домену и др.
3. Параметры безопасности Позволяет потребовать использование безопасного канала передачи данных в сети (шифрование и цифровая подпись), задать сообщение для пользователей при их входе в систему, отключить обязательное нажатие CTRL+ALT+DEL перед входом в систему (не рекомендуется по соображениям безопасности), запретить пользователям установку драйверов принтеров, определить поведе-ние системы при установке неподписанных программ и драйверов, потребовать обязательную очистку файла виртуальной памяти при выключении системы, задать уровень проверки подлинности пользователей (для совместимости с NT 4.0), переименовать стандартную учетную запись гостя и администратора и др.
Журнал событий
1. Настройка протоколирования* Максимальный размер журнала безопасности или количество дней, в течении которых хранятся события в журнале. Ограничить доступ гостей к журналу.
Прочие
1. Группы с ограни- ченным доступом* Если занести группу пользователей в этот раздел, а затем двойным щелчком по группе открыть диалоговое окно и добавить пользователей в раздел “Члены этой группы”, то при перезагрузке системы и применении политики безопас-ности, только пользователи явно указанные посредством раздела "Группы с ограниченным доступом" будут сохранены в данной группе, остальные поль-зователи будут автоматически удалены из группы. Этот способ фактически дублирует обычные методы занесения пользователей в те или иные группы, однако здесь ключевым моментом является то, что этот способ интегрирован в политику безопасности и позволяет централизованно и наглядно проконтроли-ровать членство в наиболее важных группах, со значительным объемом прав на систему (например, Администраторы).
2. Системные службы* Позволяет задавать ограничения на режим запуска (вручную/автоматически/ запрещено) системных служб, которые отвечают за определенные сервисы, например сервис Telnet. Определяет разрешения для определенных групп поль-зователей (пуск, остановка, запуск, удаление сервиса, смена/чтение разрешений, смена владельца, определение зависящих сервисов, опрос сервиса и т.д.), настроить аудит (для всех пользователей или отдельных групп пользователей можно задать какие действия – см. разрешения – будут записываться в журнал безопасности в случае их успеха/неуспеха).
3. Реестр* Позволяет ограничить доступ к отдельным разделам реестра различным пользователям и группам пользователей. Также позволяет организовать аудит успешных/неуспешных действий по доступу к реестру для всех пользователей или отдельных пользователей и их групп.
4. Файловая система* Позволяет ограничить доступ различных пользователей и групп пользователей к отдельным папкам и файлам. Также позволяет настроить аудит по результа-там успешного/неуспешного доступа различных групп пользователей к отдель-ным папкам и файлам. Эти же операции можно выполнить и из "Проводника" (выбрать папку/файл, контекстное меню/свойства/Безопасность), однако данная настройка политики безопасности позволяет вести легко контролируемый еди-ный список всех важных папок/файлов, а также позволяет запретить изменение разрешений и тогда только пользователи, имеющие право изменять политику безопасности, смогут изменить разрешения для этой папки.
5. Политики открытого ключа Политика открытого ключа строится на основании асимметричных алгоритмов шифрования. Если в симметричных алгоритмах данные шифруются и дешиф-руются при помощи одного и того же ключа, то в асимметричных алгоритмах ключи создаются парами: закрытый ключ – открытый ключ. Данные, зашиф-рованные при помощи одного из этих ключей, не могут быть дешифрованы этим же ключом – для дешифровки необходим второй ключ. Такая схема позво-ляет организовать безопасное распространение ключей при котором нет необ-ходимости скрывать открытый ключ: закрытый ключ остается у владельца, открытый – передается всем желающим. Любой человек может направить зашифрованное сообщение адресату, используя его открытый ключ. При этом другие пользователи, также имеющие открытый ключ адресата, не смогут прочитать сообщение, т.к. у них нет закрытого ключа. Более того, такая схема позволяет организовать цифровую подпись документов и программ: по тексту документа вычисляется необратимая хэш-функция (функция вида Y=f(X), в которой по значению Y нельзя получить значение X) и генерируется дайджест сообщения – обычно 128-битное число, результат вычисления хэш-функции. Если в тексте документа изменить хотя бы один бит, то его дайджест не совпа-дет с дайджестом, приложенным к документу. Чтобы приложенный к докумен-ту дайджест нельзя было подменить, он шифруется при помощи закрытого ключа отправителя. Любой человек, имеющий открытый ключ отправителя, может проверить корректность дайджеста, но только отправитель, имеющий закрытый ключ, может сформировать корректный дайджест. В Windows 2000 асимметричные алгоритмы реализованы посредством механизма сертификатов. Сертификаты — это своего рода электронные удосто-верения пользователя (компьютера, службы), подписанные цифровой подписью центра сертификации, в которых указывается данные о пользователе (компью-тере, службе), открытый ключ пользователя, дата начала и окончания действия сертификата. Сертификаты используются для проверки подлинности сервера/ клиента, защиты от изменений содержимого электронной почты или кода прог-рамм, установки криптографически защищенных штампов времени в докумен-тах, шифровании и восстановлении файлов шифрованной файловой системы EFS, шифровании IP-трафика и т.д. Управление центром сертификации осуществляется при помощи меню "Пуск/Настройка/Панель управления/ Администрирование/Центр сертификации". Настройка "Политики открытого ключа" позволяет указать доверенные центры сертификации и список доверенных сертификатов, указать параметры автоматического запроса сертификатов. Она также позволяет создать агента восстановления шифрованной файловой системы EFS - пользователя, который может расшифровывать зашифрованные файлы других пользователей.
6. Политики безопас- ности IP Позволяет задать параметры безопасности для IP-соединений: разрешить соеди-нение, запретить соединение или потребовать определенный метод проверки личности пользователя (например, Kerberos), или алгоритм шифрования и проверки целостности данных и адресов IP-пакетов. Требования устанавлива-ются в зависимости от типа подключения (по локальной сети или через удален-ный доступ), IP- или DNS-адресов, типа протокола, и портов компьютеров, участвующих в соединении. Фактически, настройка "Политики безопасности IP" реализуют простой, но достаточно гибкий межсетевой экран (firewall).

* - отсутствует в локальной политике безопасности.

Таблица 5.8.

Групповая политика безопасности (подразделения/домена)

Название раздела Примеры параметров, пояснения
1. Конфигурация компьютера
1.1.Конфигурация программ/ Уста-новка программ Позволяет автоматически установить необходимые программы всем пользователям в подразделении/домене. При этом на каждом конкретном компьютере программа толь-ко появляется в меню "Пуск" и реестре, а фактически устанавливается только в тот момент, когда пользователь в первый раз запускает программу.
1.2. Конфигурация Windows
Сценарии (запуск, завершение) Позволяет задать сценарии (exe-, bat-, vba-, js-файлы), выполняющиеся на компьюте-рах пользователей подразделения/домена (должна быть установлена Windows 2000) при запуске/выключении компьютера.
Параметры безопасности Фактически представляет собой еще один способ обратиться к меню "Политика безопасности домена" (см. выше).
1.3. Административные шаблоны/Компоненты Windows
NetMeeting Позволяет запретить/разрешить пользователям подразделения/домена удаленное управление рабочим столом при помощи NetMeeting. Подробнее см. раздел "Конфигу-рация пользователя/Конфигурация Windows".
Internet Explorer Позволяет установить общие для всех пользователей подразделения/домена настрой-ки зон безопасности Internet Explorer и настройку разрешений зон безопасности (настройка зон безопасности и разрешений для этих зон выполняется в разделе "Конфигурация пользователя/Конфигурация Windows/Поддержка Internet Explorer). Пользователям будет запрещено самостоятельно изменять эти настройки. Можно также определить обязательные настройки использования прокси-сервера. Подробнее см. раздел "Конфигурация пользователя/Конфигурация Windows".
Планировщик заданий Планировщик заданий отвечает за запуск по расписанию определенных программ. Можно запретить пользователям подразделения/домена просматривать/создавать /удалять задачи, останавливать запущенные задачи до их полного завершения и т.д.
Установщик Windows Позволяет определить обязательные параметры установщика Windows (установка программ) или вообще запретить его использование пользователями подразделения/ домена. В этом случае программное обеспечение смогут устанавливать только администраторы.
1.4. Административные шаблоны/Система для пользователей подразделения/домена позволяет определить список программ, запускающихся автоматически, при входе в систему, или вообще отключить автозапуск. Можно отключить автоматическое шифрование для файлов, перемещаемых в зашифрованные папки и др.
Вход в систему Для пользователей подразделения/домена можно задать синхронный запуск сценариев входа в систему (рабочий стол не будет создан, пока не будут выполнены все сцена-рии) и асинхронный/синхронный режим выполнения сценариев (все сценарии выпол-няются параллельно/последовательно). Можно также определить максимальное время выполнение сценариев и режим отображения команд сценария, принудительно завер-шать сеанс пользователя при ошибке в перемещаемом профиле.
Дисковые квоты Позволяет настроить обязательные параметры использования дисковых квот для пользователей подразделения/домена. Пользователи, не имеющие право изменять политику безопасности, не смогут самостоятельно изменить эти параметры.
DNS-клиент Позволяет принудительно определить основной DNS-суффикс для пользователей подразделения/домена.
Групповая политика Задает параметры использования групповой политики: интервал и режим обновления политики (применения новых параметров политики), асинхронное применение политики (ускоряет загрузку, однако возможно формирование рабочего стола еще до полного применения всех параметров политики) и др.
Защита файлов в Windows Защита файлов Windows проверяет системные файлы Windows на наличие в них изменений. По умолчанию файлы сканируются только при установке программ. Использование этой политики позволяет задать сканирование системных файлов во время каждой загрузки системы.
1.5. Административные шаблоны/Сеть
Автономные файлы Windows 2000 позволяет кэшировать сетевые файлы на локальном компьютере для того, чтобы они были доступны даже при отключении сети. Данная политика разре-шает/запрещает использование автономных файлов, а также настраивает параметры их использования.
Сеть и удаленный доступ к сети Windows 2000 позволяет организовать для локальной сети общий доступ к удаленной сети (например, Internet) через одно модемное подключение. Данная политика позво-ляет запретить администраторам, не имеющим право изменять данную политику, настраивать общий доступ. Подробнее см. раздел "Конфигурация пользователя/ Административные шаблоны/Сеть/Сеть и удаленный доступ к сети".
1.6. Администра-тивные шаблоны/ Принтеры Позволяет настроить режим публикации (объявления) и обзора (просмотра) сетевых принтеров и др. параметры.
2. Конфигурация пользователя
2.1.Конфигурация программ/ Уста-новка программ Аналогично разделу 1.1. (см. выше). Параметры, указанные в разделе "Конфигурация пользователя", частично совпадают с параметрами, указанными в разделе "Конфигурация компьютера". В таком случае параметры раздела "Конфигурация компьютера" имеют более высокий приоритет. Однако стоит проверять разделы политик с совпадающими названиями, т.к. чаще всего содержимое этих разделов не дублирует, а дополняет друг-друга.
2.2. Конфигурация Windows
Поддержка Internet Explorer Позволяет задать для пользователей подразделения/домена внешний вид Internet Explorer (заголовки окна, фон и кнопки панели инструментов, содержимое меню "Избранное", адрес домашней страницы), параметры подключения к Internet (например, прокси-сервер), настройки зон безопасности и разрешений для этих зон и др. параметры.
Сценарии входа/ выхода из системы Позволяет задать для пользователей подразделения/домена сценарии, выполняющиеся при входе/выходе пользователя из системы. Эти сценарии являются общими для всех пользователей подразделения/домена.
Параметры безопасности Подраздел Политики открытого ключа/Доверительные отношения позволяет создать список доверия сертификатов для пользователей подразделения/ домена.
Службы удаленной установки Позволяет настроить параметры установки для пользователей Подразделения/Домена: возможность выполнять выборочную установку, возможность автоматической установки, перезапуска установки и др. параметры.
Перенаправление папки Позволяет задать для пользователей подразделения/домена расположение папок "Мои документы", "Главное меню", "Рабочий стол". Для различных пользователей/групп пользователей можно указать различное расположение, или указать общее расположе-ние для всех пользователей.
2.3. Административные шаблоны / Компоненты Windows
Net Meeting Позволяет настроить обязательные для всех пользователей подразделения/домена параметры Net Meeting: запретить общий доступ к приложениям, командной строке, окнам проводника, рабочему столу, удаленное управление при помощи Net Meeting, скрыть страницы настройки, ограничить пропускную способность сети или вообще запретить передачу аудио- и видеоданных, запретить прием/передачу файлов, ограничить размер передаваемых файлов.
Internet Explorer Позволяет полностью контролировать внешний вид Web-браузера Internet Explorer (содержимое меню, кнопки, вкладки, запретить изменение настроек языков, цветов, прокси-сервера и др.), ограничить максимальный размер получаемых файлов, ограничить использование Windows Media, ShockWave Flash и др. программ, связанных c Internet.
Проводник Позволяет для пользователей подразделения/домена полностью контролировать внешний вид Проводника: содержимое меню, кнопки, запретить контекстное меню, скрыть значки "Мои документы", значки "Вся сеть", скрыть вкладку "Оборудование", скрыть некоторые диски локального компьютера, скрыть кнопку "Поиск", скрыть команды подключения/ отключения сетевых дисков, команды и др.
Консоль управления Microsoft Позволяет для пользователей подразделения/домена ограничить возможность запуска большинства меню конфигурирования Windows, в том числе из папки "Администри-рование".
Планировщик заданий Аналогично такому же разделу в "Конфигурации компьютера".
Установщик Windows Аналогично такому же разделу в "Конфигурации компьютера".
2.4. Административные шаблоны / Панель задач и меню пуск Позволяет для пользователей подразделения/домена настроить вид меню "Пуск" и панели задач: убрать из меню подменю "Документы", команды "Найти", "Выполнить", "Завершение работы", "Завершение сеанса", "Сеть и удаленный доступ к сети", запретить перетаскивание и контекстное меню в меню "Пуск" и на "Панели задач", запретить изменение параметров панели задач и меню "Пуск".
2.5. Административные шаблоны / Рабочий стол Позволяет для пользователей подразделения/домена настроить вид рабочего стола: скрыть значки "Сетевое окружение", "Мои документы", запретить пользователям изменять положение папки "Мои документы", запретить изменение места положения панелей, скрыть все значки рабочего стола.
2.6. Административные шаблоны / Панель управления
Установка и удаление программ Позволяет для пользователей подразделения/домена запретить установку и удаление программ, скрыть некоторые пункты меню "Установка и удаление программ", запретить установку программ с CD-диска, дискет или по сети.
Экран Позволяет для пользователей подразделения/домена запретить настройку экрана или отключить некоторые вкладки в меню настройки. Позволяет явно указать имя файла хранителя экрана для предотвращения проникновения в систему вредоносных программ через хранитель экрана (для этого необходимо не только указать имя файла-заставки, но и правильно выставить права доступа к этому файлу, чтобы пользователь не смог заместить его своим файлом, с таким же именем).
Принтеры Позволяет запретить/разрешить установку или удаление принтеров, обзор принтеров по сети и др.
Язык и стандарты Позволяет указать обязательный язык для меню и диалогов в Windows.
2.7. Административные шаблоны/Сеть
Автономные файлы Аналогично такому же разделу в "Конфигурации компьютера".
Сеть и удаленный доступ к сети Для пользователей подразделения/домена позволяет ограничить доступ к настройке подключений по сети и удаленного доступа. Например, запретить дополнительную настройку TCP/IP (указание IP-адресов шлюзов, DNS и WINS серверов).
2.8. Административные шаблоны/Система для пользователей подразделения/домена позволяет скрыть средства редактирования реестра, запретить использование командной строки, выполнять только зарегистрированные приложения Windows, не запус-кать определенные программы (указывается список), отключить автозапуск или вообще задать особый интерфейс пользователя. По умолчанию запускается программа Explorer.exe, соответствующая стандартному интерфейсу Windows, но можно указать и собственную программу.
Вход/выход из системы Для пользователей подразделения/домена позволяет запускать указанные программы при входе в систему, запретить запуска диспетчера задач, блокировку компьютера, запретить изменение пароля, завершение сеанса и др.
Групповая политика Задает параметры обновления групповой политики.

 

 

<== предыдущая лекция | следующая лекция ==>
Виды политик безопасности | Микроскопическое исследование
Поделиться с друзьями:


Дата добавления: 2014-01-20; Просмотров: 1103; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.008 сек.